版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
软件安全Part章节05恶意代码概述5.1.1什么是恶意代码
恶意代码(英文malware,为malicioussoftware的混成词),也叫做恶意软件。恶意代码涵盖的范围十分广泛,不仅仅包含PC端,还应包含移动端。任何以某种方式对用户计算机、移动智能终端、网络等造成破坏的软件,或者说所有带有敌意、插入、干扰正常使用、令人讨厌的程序和源代码,都可以被认为是恶意代码。5.1恶意代码的概念移动端、PC端窃取用户隐私(如手机号码、地理位置)破坏系统恶意扣费远程控制监听窃取用户信息阻碍系统正常运行……恶意代码的传播途径目前主要有以下几个传播途径:软盘、光盘、硬盘、互联网和无线通信系统。其中最主要的途径是互联网,目前恶意代码主要通过如下几种互联网服务进行传播:电子公告栏(BBS)电子邮件各种即时消息服务(例如QQ、微信)Web服务FTP服务移动应用商城。5.1恶意代码的概念5.1.2恶意代码的特征(1)目的性:是恶意代码的基本特征,是判别一个程序或者代码片段是否为恶意代码的最重要的特征,也是法律上判断恶意代码的标准。(2)传播性:是恶意代码体现其生命力的重要手段。恶意代码总是通过各种手段把自己传播出去,到达尽可能多的软硬件环境。(3)破坏性:是恶意代码的表现手段。任何恶意代码传播到了新的软硬件系统后,都会对系统产生不同程度的影响。它们发作时轻则占用系统资源,影响计算机运行速度,降低计算机工作效率,使用户不能正常的使用计算机;重则破坏用户计算机的数据,甚至破坏计算机硬件,给用户带来巨大的损失。5.1恶意代码的概念5.1.3恶意代码的表现现象在不同的平台上,如PC端或移动智能终端上,恶意代码的感染症状有很大的不同。即时是在同一平台上,不同类型的恶意代码感染症状也各不相同。恶意代码的表现现象主要分为三个阶段:发作前:恶意代码感染计算机系统,潜伏在系统内开始,一直到激发条件满足,恶意代码发作之前的阶段发作时:满足恶意代码发作的条件,进入进行破坏活动的阶段发作后:发作后给计算机系统带来破坏性后果5.1恶意代码的概念恶意代码发作前的表现现象(PC端)5.1恶意代码的概念陌生人发来的电子邮件可用的磁盘空间迅速减少或磁盘文件变多平时正常的计算机经常突然死机无法正常启动操作系统计算机运行速度明显变慢部分软件经常出现内存不足的错误系统文件的属性发生变化系统无故对磁盘进行写操作……恶意代码发作前的表现现象(移动端)5.1恶意代码的概念请求获取系统管理器权限请求root权限请求修改默认短信应用,以便恶意代码能够删除短信……恶意代码发作时的表现现象(PC端)5.1恶意代码的概念硬盘灯持续闪烁无故播放音乐不相干的提示无故出现特定图像、突然出现算法游戏改变Windows桌面图标计算机突然死机或重新启动自动发送电子邮件鼠标指针无故移动……恶意代码发作时的表现现象(移动端)5.1恶意代码的概念自动发送短信,短信中可能包含诱骗下载恶意代码的网址等信息自动发送邮件,邮件中可能包含恶意代码相关的内容,诱骗其他用户感染频繁弹出广告窗口,干扰用户正常工作自动拨打电话,通过私自拨打电话达到消耗用户资费及干扰用户正常生活的目的频繁连接网络,产生异常数据流量……恶意代码发作后的表现现象(PC端)5.1恶意代码的概念无法启动系统系统文件丢失或被破坏部分BIOS程序混乱部分文档自动加密部分文档丢失或被破坏目录结构发生混乱网络无法提供正常服务浏览器自动访问非法网站……恶意代码发作后的表现现象(移动端)5.1恶意代码的概念用户隐私信息,如用户手机号、地理位置被窃取用户手机被远程控制用户通信录、浏览器标签等个人数据被修改用户资费被恶意扣除移动终端系统被破坏……1983198119825.2恶意代码的发展历史(PC端)弗雷德·科恩(FredCohen)博士将计算机病毒定义为“可以通过修改其他程序,使其包含该程序可能演化的版本的程序”并研制出一种在运行过程中可以复制自身的破坏性程序。1983第一次报道的计算机病毒:至少有三个独立的病毒,其中包括在AppleⅡ计算机系统的游戏中被发现的ElkCloner伦·艾德勒曼(LenAdleman)将这种破坏性程序命名为计算机病毒(ComputerViruses),并在每周一次的计算机安全讨论会上正式提出,8小时后专家们在VAX11/750计算机系统上成功运行该程序。1996199119865.2恶意代码的发展历史(PC端)第一个多态的计算机病毒:为了避免反病毒系统,这些病毒在每次运行时都会变换自己的表现形式,从而揭开了多态病毒代码的序幕。1990巴锡特(Basit)和阿姆杰德(Amjad)两兄弟编写了Pakistan病毒,即Brain。Brain是第一个感染PC的恶意代码。在“海湾战争"中,美军第一次将计算机病毒用于实战,在空袭巴格达的战斗前,成功地破坏了对方的指挥系统,使之瘫痪,保证了战斗的顺利进行。首次发现宏(Macro)病毒:这个让人们特别厌恶和紧张的病毒使用MicrosoftWord的宏语言实现,感染文档文件。这类技术波及其他程序的其他宏语言。1995首次出现针对微软公司Office的宏病毒。宏病毒的出现使病毒编制工作不再局限于晦涩难懂的汇编语言,由于书写简单,越来越多的恶意代码出现了。200319975.2恶意代码的发展历史(PC端)出现第一个Java病毒:StrangeBrew,该病毒病毒可以感染其他Java程序。1998信息安全界的“宏病毒年"。宏病毒主要感染Word、Excel等文件。常见的宏病毒有TaiwanNO.1(台湾一号)、Setmd、Consept、Mdma等。“2003蠕虫王"在亚洲、美洲、澳大利亚等地迅速传播,造成了全球性的网络灾害。其中受害最严重的无疑是美国和韩国这两个Internet发达的国家。其中韩国70%的网络服务器处于瘫痪状态。美国连银行网络系统也遭到了破坏,全国1.3万台自动取款机处于瘫痪状态。1995200520045.2恶意代码的发展历史(PC端)2005年是特洛伊木马流行的一年。在经历了操作系统漏洞升级、杀毒软件技术改进后,蠕虫的防范效果已经大大提高,真正有破坏作用的蠕虫已经销声匿迹。2005年的木马即包括安全领域耳熟能详的经典木马。举例如下:2004年是蠕虫泛滥的一年,2004年十大流行恶意代码都是蠕虫,它们包括网络天空、高波、爱情后门、震荡波、SC()炸弹、冲击波、恶鹰、小邮差、求职信、大无极。1995闪盘窃密者(Trojan.UdiskThief):该木马会判断计算机上移动设备的类型,自动把u盘里所有的资料都复制到计算机C盘的“test”文件夹下,这样可能造成某些公用计算机用户的资料丢失。外挂陷阱(Trojan.Lineage.hp)此木马可以盗取多个网络游戏的用户信息,下载安装所需外挂程序后,便会发现外挂程序实际上是经过伪装的恶意代码,这时恶意代码便会自动安装到用户计算机中。证券大盗(Trojan/PSW.Soufan):该木马可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码,被盗号的股民账户存在被人恶意操纵的可能。我的照片(Trojan.PSW.MyPhoto)该木马试图窃取热血江湖、传奇、天堂2、工商银行、中国农业银行等数十种网络游戏及网络银行的账号和密码。该木马发作时,会显示一张照片,使用户对其放松警惕。201020075.2恶意代码的发展历史(PC端)1998熊猫烧香病毒爆发:熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”。这是中国警方破获的首例计算机病毒大案。震网病毒(英文名为Stuxnet)席卷全球工业界,这种病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。19955.2恶意代码的发展历史(移动端)19955.2恶意代码的发展历史(移动端)19955.2恶意代码的发展历史(移动端)5.2恶意代码的发展历史(移动端)5.2恶意代码的发展历史(移动端)移动端有很多与PC端不同的特性移动端与“人”的关系更为贴近在移动端上获取用户重要信息也更为容易因此对于PC端和移动端的恶意代码,有不同的分类方式和种类。5.3恶意代码的种类到目前为止,绝大多数的恶意代码都可以被分到如下类别中:病毒木马蠕虫研究代码5.3恶意代码的种类5.3.1PC端恶意代码类型基础概念病毒:一种专门修改其他宿主文件或硬盘引导区来复制自己的恶意程序。在多数情况下,目标宿主未按被修改并将病毒的恶意代码的副本包括进去。然后,被感染的宿主文件或者引导区的运行结果再去感染其他文件。木马:是一种非自身复程序。它假装成一种程序,但是其真正意图却不为用户所知。并不修改或者感染其他文件。5.3恶意代码的种类5.3.1PC端恶意代码类型基础概念蠕虫:一种复杂的自身复制代码,它完全依靠自己来传播。不像病毒,蠕虫很少寄生在其他文件或者引导区中。木马和蠕虫区别木马总是假扮成别的程序,而蠕虫却是在后台暗中破坏木马依靠信任它们的用户来激活它们,而蠕虫从一个系统传播到另一个系统不需要用户的任何干预蠕虫大量地复制自身,而木马并不这样做。5.3恶意代码的种类5.3.1PC端恶意代码类型基础概念研究代码:仅仅用作研究的恶意代码程序最初是在实验室里写的,是用来证明一种特殊的理论或者是专门给反病毒研究者做研究用的,但它们并未流传出去。5.3恶意代码的种类5.3.1PC端恶意代码类型根据《中华人民共和国通信行业标准--移动互联网恶意程序描述格式》,绝大多数的恶意代码都可以被分到如下类别中:恶意扣费信息窃取远程控制恶意传播资费消耗系统破坏诱骗欺诈流氓行为5.3恶意代码的种类5.3.2移动端恶意代码类型基础概念恶意扣费:在用户不知情或未授权的情况下,通过隐蔽执行、欺骗用户点击等手段,订购各类收费业务或使用移动终端支付,导致用户经济损失的,具有恶意扣费属性。信息窃取:在用户不知情或未授权的情况下,获取涉及用户个人信息、工作信息或其他非公开信息的,具有信息窃取属性。远程控制:在用户不知情或未授权的情况下,能够接受远程控制端指令并进行相关操作的,具有远程控制属性。5.3恶意代码的种类5.3.2移动端恶意代码类型基础概念恶意传播:自动通过复制、感染、投递、下载等方式将自身、自身的衍生物或其他恶意程序进行扩散的行为,具有恶意传播属性。资费消耗:在用户不知情或未授权的情况下,通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式,导致用户资费损失的,具有资费消耗属性。系统破坏:通过感染、劫持、篡改、删除、终止进程等手段导致移动终端或其他非恶意软件部分或全部功能、用户文件等无法正常使用的,干扰、破坏、阻断移动通信网络、网络服务或其他合法业务正常运行的,具有系统破坏属性。5.3恶意代码的种类5.3.2移动端恶意代码类型基础概念诱骗欺诈:通过伪造、篡改、劫持短信、彩信、邮件、通信录、通话记录、收藏夹、桌面等方式诱骗用户,而达到不正当目的的,具有诱骗欺诈属性。流氓行为:执行对系统没有直接损害,也不对用户个人信息、资费造成侵害的其他恶意行为具有流氓行为属性。5.3恶意代码的种类5.3.2移动端恶意代码类型病毒的命名并没有一个统一的规定,但基本都是采用前、后缀法来进行命名的,可以是多个前缀、后缀组合,中间以小数点分隔一般格式:[前缀].[病毒名].[后缀]5.4恶意代码的命名规则5.4.1PC端基础概念病毒前缀:是指一个病毒的种类,我们常见的木马病毒的前缀是“Trojan”,蠕虫病毒的前缀是“Worm”,其他前缀还有如“Macro”、“Backdoor”、“Script”等。病毒名:是指一个病毒名称,如以前很有名的CIH病毒,它和它的一些变种都是统一的“CIH”,还有振荡波蠕虫病毒,它的病毒名则是“Sasser”。病毒后缀:指一个病毒的变种特征,一般是采用英文中的26个字母来表示的,如“Worm.Sasser.c”是指振荡波蠕虫病毒的变种c。如果病毒的变种太多了,那也可以采用数字和字母混合的方法来表示病毒的变种。5.4恶意代码的命名规则5.4.1PC端常见恶意代码命名前缀5.4恶意代码的命名规则5.4.1PC端病毒类型前缀说明举例木马病毒Trojan通过网络或者系统漏洞进入用户的系统并隐藏,然后再向外界泄露用户的信息。QQ消息尾巴Trojan.QQPSW.r、网络游戏木马病毒Trojan.StartPage.FH脚本病毒Script用脚本语言编写,通过网页进行的传播的病毒。有些脚本病毒还会有VBS、HTML之类的前缀,是表示用何种脚本编写的红色代码Script.Redlof、欢乐时光VBS.Happytime、HTML.Reality.D系统病毒Win32、PE、Win95、W32、W95等可以感染Windows操作系统的*.exe和*.dll文件,并通过这些文件进行传播CIH、FUNLOVE宏病毒Macro,第二前缀有Word、Word97、Excel、Excel97等,根据感染的文档类型来选择相应的第二前缀也可以算是脚本病毒的一种,由于它的特殊性,因此就单独算成一类。该类病毒的特点就是能感染OFFICE系列的文档,然后通过OFFICE通用模板进行传播美丽莎病毒Macro.Melissa、文档猎人Macro.Word.Hunter.e蠕虫病毒Worm可以通过网络或者系统漏洞来进行传播,大多数蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性冲击波、震荡波常见恶意代码命名前缀5.4恶意代码的命名规则5.4.1PC端病毒类型前缀说明举例捆绑机病毒Binder病毒与应用程序捆绑起来,用户运行应用程序时,也同时运行了被捆绑在一起的病毒文件,从而给用户造成危害系统杀手Binder.killsys后门病毒Backdoor通过网络传播来给中毒系统开后门,给用户电脑带来安全隐患间谍波特Backdoor.Spyboter.g、AV后门Backdoor.Avstral.g破坏性程序Harm这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏格式化C盘Harm.formatC.f、杀手命令Harm.Command.Killer玩笑病毒(也称恶作剧病毒)Joke这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏女鬼Joke.Girlghost黑客病毒Hack有一个可视的界面,能对用户的电脑进行远程控制网络枭雄Hack.Nether.Client病毒种植程序病毒Dropper运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏冰河播种者Dropper.BingHe2.2C、MSN射手Dropper.Worm.Smibag移动互联网恶意程序采用分段式格式命名,前四段为必选项,使用英文(
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 正确使用标点符号(课件)很好
- 面点工艺(浙江旅游职业学院)知到智慧树答案
- 劳动教育(黑龙江建筑职业技术学院)知到智慧树答案
- 标准化规模化生态养殖及绿色农庄一体化建设可行性研究报告
- 农产品加工建设可行性研究报告
- 装饰装修巡查记录表
- 梨状肌综合征课件
- 《教学艺术与风格》课件
- (部编版八年级《政治》课件)第2课时-遵守规则
- 2015年天津市中考满分作文《晒出我的梦想》2
- 《义务教育课程方案》通识题学习考试题库(含答案)
- 神经外科年度医疗质控总结年度质控计划
- Unit 2 My week B Read and write(教案)人教PEP版英语五年级上册
- ERSA-回流炉教学讲解课件
- 正投影及三视图的形成(共70张PPT)
- 2023学年完整公开课版《精忠报国》
- 临床医学专业认证指标体系
- 谈心谈话记录表
- 《蛋糕裱花必修技术》PPT完整版
- 社会组织服务管理工作的思考
- 异彩纷呈的民族文化智慧树知到答案章节测试2023年中南民族大学
评论
0/150
提交评论